Primeira sanção por descumprimento da LGPD é publicada pela ANPD
Em resumo
No dia 6 de julho, a Autoridade Nacional de Proteção de Dados (ANPD) aplicou a primeira sanção por descumprimento da Lei Geral de Proteção de Dados (LGPD). A Coordenação-Geral de Fiscalização da ANPD (CGF/ANPD) definiu a penalidade em conclusão ao processo administrativo sancionador contra uma microempresa, em decorrência de infração aos artigos 7º e 41º da LGPD, bem como ao artigo 5º da Resolução CD/ANPD nº 1/2021.
Mais detalhes
Referido processo administrativo foi instaurado em 28/02/2021 e iniciou a partir de uma denúncia de oferta de listagem de contatos de aplicativo de mensagens de eleitores de Ubatuba (SP) no contexto da Eleição Municipal de 2020. O processo foi iniciado pela CGF, que solicitou documentos e esclarecimentos à empresa, de forma a compreender a composição e o funcionamento da base de dados da empresa, além do Encarregado responsável por suas atividades.
Apesar das oportunidades de prestar esclarecimento oferecidas pela CGF, o órgão entendeu que a microempresa não apresentou respostas suficientes. Nesse sentido, foi instaurado o Processo Administrativo Sancionador nº 00261.000489/2022-62, tendo sido a empresa notificada acerca do auto de infração e apresentado sua defesa em 08/04/2022. A decisão quanto às sanções foi publicada no Diário Oficial da União (DOU) do dia 06/07/2023, destacando-se os principais pontos abaixo:
- A ANPD enquadrou a empresa como agente controlador de tratamento, considerando-a como como a pessoa jurídica responsável pelas decisões relativas ao tratamento dos dados pessoais envolvidos. Isso se deu devido às atividades de montagem de base de dados e ao oferecimento dessa base aos clientes.
- Foi caracterizada a ausência de indicação do Encarregado pela microempresa em prazo hábil, sendo que a mesma ocorreu apenas na apresentação da defesa. Houve, portanto, infração ao artigo 41º da LGPD.
- A ANPD entendeu que a empresa foi inerte frente aos pedidos da autoridade, não fornecendo os documentos e dados relevantes solicitados na primeira abordagem. Com isso, a ANPD entendeu que a empresa violou o artigo 5º da Resolução CD/ANPD nº 1/2021, que determina que os agentes de tratamento devem fornecer para a ANPD cópias dos documentos e informações relevantes para que a autoridade possa realizar a análise do caso. O descumprimento desta obrigação foi considerado obstrução das atividades fiscalizadoras da autoridade e enquadrado como infração grave.
- A Autoridade observou que ocorreu uso secundário de dados manifestamente públicos pela empresa, inexistindo base legal apropriada para esse tratamento. Ainda, a ANPD considerou que havia pretensão de obter vantagem econômica por meio dessa atividade e, com isso, considerou que a microempresa infringiu o artigo 7º da LGPD, que lista todas as bases legais para o tratamento de dados pessoais gerais.
- Ainda sobre a ausência de base legal, a ANPD destacou a necessidade de transparência para os titulares de dados quanto ao tratamento de dados pessoais disponíveis publicamente, o que não ocorria no caso da empresa investigada, uma vez que não houve transparência aos titulares dos dados sobre como os dados estavam sendo tratados. Com isso, a Autoridade ressaltou a necessidade da adoção de cuidados especiais para a aplicação da base legal do legitimo interesse e, assim, rejeitou a possibilidade de adoção da base legal do legítimo interesse para finalidades secundárias diferentes daquelas para as quais os dados foram tornados públicos inicialmente neste caso.
- Ademais, a ANPD tornou público o inteiro teor do relatório que fundamentou a sua primeira decisão sancionadora.
Dessa forma, a Autoridade optou pela aplicação de uma sanção de advertência e duas sanções de multa simples. Sendo classificada como microempresa, a LGPD delimita o limite de 2% do faturamento para dosimetria e, assim, a empresa deve arcar com o valor de R$ 7.200 para cada multa, totalizando R$ 14.400.
Trata-se de uma decisão de extrema importância por ser o primeiro caso de aplicação de sanção pela ANPD por descumprimento da LGPD e, também, por ter sido aplicada a uma microempresa. Por mais que não seja possível prever quais serão as consequências concretas desse acontecimento, percebe-se que foi tomado um passo importante no que tange à fiscalização e ao tratamento dado à LGPD, podendo tal decisão ser um indicativo do tratamento que a ANPD dará a casos semelhantes, inclusive para abarcar empresas de outros portes.